مراقبة صحة قواعد التشغيل التلقائي ودلائل المبادئ
لضمان الأداء والأداء السليمين لعمليات تزامن الأمان والأتمتة والاستجابة في خدمة Microsoft Sentinel، تتبع صحة قواعد التشغيل التلقائي ودلائل المبادئ من خلال مراقبة سجلات التنفيذ الخاصة بهم.
قم بإعداد إعلامات بالأحداث الصحية لأصحاب المصلحة المعنيين، الذين يمكنهم بعد ذلك اتخاذ إجراء. على سبيل المثال، حدد رسائل البريد الإلكتروني أو Microsoft Teams وأرسلها، وأنشئ تذاكر جديدة في نظام إصدار التذاكر، وما إلى ذلك.
توضح هذه المقالة كيفية استخدام ميزات مراقبة السلامة في Microsoft Sentinel لتتبع قواعد الأتمتة وصحة أدلة المبادئ من داخل Microsoft Sentinel. لمزيد من المعلومات، راجع التدقيق والمراقبة الصحية في Microsoft Sentinel.
استخدام جدول بيانات SentinelHealth (معاينة عامة)
للحصول على بيانات صحة الأتمتة من جدول بيانات SentinelHealth ، قم أولا بتشغيل ميزة صحة Microsoft Sentinel لمساحة العمل الخاصة بك. لمزيد من المعلومات، راجع تشغيل مراقبة السلامة لـ Microsoft Sentinel.
بمجرد تشغيل ميزة الصحة، يتم إنشاء جدول بيانات SentinelHealth في حدث النجاح أو الفشل الأول الذي تم إنشاؤه لقواعد التشغيل التلقائي ودلائل المبادئ.
فهم أحداث جدول SentinelHealth
يتم تسجيل الأنواع التالية من أحداث صحة الأتمتة في جدول SentinelHealth :
تشغيل قاعدة التنفيذ التلقائي. يتم تسجيله كلما تم استيفاء شروط قاعدة التشغيل التلقائي، مما تسبب في تشغيلها. بالإضافة إلى الحقول في جدول SentinelHealth الأساسي، ستتضمن هذه الأحداث خصائص موسعة فريدة من نوعها لتشغيل قواعد التشغيل التلقائي، بما في ذلك قائمة بدلائل المبادئ التي تسمى بواسطة القاعدة. سيعرض نموذج الاستعلام التالي هذه الأحداث:
SentinelHealth | where OperationName == "Automation rule run"تم تشغيل Playbook. يتم تسجيله كلما تم تشغيل دليل المبادئ على حدث يدويا من المدخل أو من خلال واجهة برمجة التطبيقات. بالإضافة إلى الحقول في جدول SentinelHealth الأساسي، ستتضمن هذه الأحداث خصائص موسعة فريدة من نوعها لتشغيل أدلة المبادئ يدويا. سيعرض نموذج الاستعلام التالي هذه الأحداث:
SentinelHealth | where OperationName == "Playbook was triggered"
لمزيد من المعلومات، راجع مخطط أعمدة جدول SentinelHealth.
الحالات والأخطاء والخطوات المقترحة
بالنسبة لحالة تشغيل قاعدة التنفيذ التلقائي، قد ترى الحالات التالية:
Success: تم تنفيذ القاعدة بنجاح، مما يؤدي إلى تشغيل جميع الإجراءات.
نجاح جزئي: تم تنفيذ القاعدة وتشغيل إجراء واحد على الأقل، ولكن فشلت بعض الإجراءات.
الفشل: لم تقم قاعدة التشغيل التلقائي بتشغيل أي إجراء بسبب أحد الأسباب التالية:
- فشل تقييم الشروط.
- تم استيفاء الشروط، ولكن فشل الإجراء الأول.
بالنسبة إلى حالة تشغيل Playbook، قد ترى الحالات التالية:
نجاح: تم تشغيل دليل المبادئ بنجاح.
فشل: تعذر تشغيل دليل المبادئ.
إشعار
النجاح يعني فقط أن قاعدة التشغيل التلقائي نجحت في تشغيل دليل المبادئ. لا يخبرك متى بدأ دليل المبادئ أو انتهى، أو نتائج الإجراءات في دليل المبادئ، أو النتيجة النهائية ل playbook.
للعثور على هذه المعلومات، استعلم عن سجلات تشخيص Logic Apps. لمزيد من المعلومات، راجع الحصول على صورة التنفيذ التلقائي الكاملة.
أوصاف الأخطاء والإجراءات المقترحة
| وصف الخطأ | الإجراءات المقترحة |
|---|---|
| تعذر إضافة مهمة: اسم المهمة>.< لم يتم العثور على الحدث/التنبيه. |
تأكد من وجود الحدث/التنبيه وحاول مرة أخرى. |
| تعذر إضافة مهمة: اسم المهمة>.< يحتوي الحدث بالفعل على الحد الأقصى المسموح به لعدد المهام. |
إذا كانت هذه المهمة مطلوبة، فتحقق مما إذا كانت هناك أي مهام يمكن إزالتها أو دمجها، ثم حاول مرة أخرى. |
| تعذر تعديل الخاصية: <PropertyName>. لم يتم العثور على الحدث/التنبيه. |
تأكد من وجود الحدث/التنبيه وحاول مرة أخرى. |
| تعذر تعديل الخاصية: <PropertyName>. طلبات كثيرة جدا، تتجاوز حدود التقييد. |
|
| تعذر تشغيل playbook: PlaybookName>.< لم يتم العثور على الحدث/التنبيه. |
إذا حدث الخطأ عند محاولة تشغيل دليل المبادئ عند الطلب، فتأكد من وجود الحدث/التنبيه وحاول مرة أخرى. |
| تعذر تشغيل playbook: PlaybookName>.< إما أنه لم يتم العثور على دليل المبادئ، أو أن Microsoft Sentinel كان يفتقد الأذونات عليه. |
قم بتحرير قاعدة التنفيذ التلقائي، وابحث عن دليل المبادئ وحدده في موقعه الجديد، واحفظه. تأكد من أن Microsoft Sentinel لديه إذن لتشغيل دليل المبادئ هذا. |
| تعذر تشغيل playbook: PlaybookName>.< يحتوي على نوع مشغل غير معتمد. |
تأكد من أن دليل المبادئ يبدأ بمشغل Logic Apps الصحيح: حدث Microsoft Sentinel أو تنبيه Microsoft Sentinel. |
| تعذر تشغيل playbook: PlaybookName>.< تم تعطيل الاشتراك ووضع علامة عليه للقراءة فقط. لا يمكن تشغيل أدلة المبادئ في هذا الاشتراك حتى يتم إعادة تمكين الاشتراك. |
أعد تمكين اشتراك Azure الذي يوجد فيه دليل المبادئ. |
| تعذر تشغيل playbook: PlaybookName>.< تم تعطيل دليل المبادئ. |
قم بتمكين دليل المبادئ الخاص بك، في Microsoft Sentinel في علامة التبويب أدلة المبادئ النشطة ضمن التنفيذ التلقائي، أو في صفحة مورد Logic Apps. |
| تعذر تشغيل playbook: PlaybookName>.< تعريف القالب غير صحيح. |
يوجد خطأ في تعريف دليل المبادئ. انتقل إلى مصمم Logic Apps لإصلاح المشكلات وحفظ دليل المبادئ. |
| تعذر تشغيل playbook: PlaybookName>.< يقيد تكوين التحكم في الوصول Microsoft Sentinel. |
تسمح تكوينات Logic Apps بتقييد الوصول لتشغيل دليل المبادئ. هذا التقييد ساري المفعول لدليل المبادئ هذا. قم بإزالة هذا التقييد حتى لا يتم حظر Microsoft Sentinel. معرفة المزيد |
| تعذر تشغيل playbook: PlaybookName>.< يفتقد Microsoft Sentinel الأذونات لتشغيله. |
يتطلب Microsoft Sentinel أذونات لتشغيل أدلة المبادئ. |
| تعذر تشغيل playbook: PlaybookName>.< لم يتم ترحيل Playbook إلى نموذج أذونات جديد. امنح أذونات Microsoft Sentinel لتشغيل دليل المبادئ هذا وإعادة حفظ القاعدة. |
امنح أذونات Microsoft Sentinel لتشغيل دليل المبادئ هذا وإعادة حفظ القاعدة. |
| تعذر تشغيل playbook: PlaybookName>.< طلبات كثيرة جدا، تتجاوز حدود تقييد سير العمل. |
تجاوز عدد عمليات تشغيل سير العمل قيد الانتظار الحد الأقصى المسموح به. حاول زيادة قيمة 'maximumWaitingRuns' في تكوين تزامن المشغل. |
| تعذر تشغيل playbook: PlaybookName>.< طلبات كثيرة جدا، تتجاوز حدود التقييد. |
تعرف على المزيد حول حدود الاشتراك والمستأجر. |
| تعذر تشغيل playbook: PlaybookName>.< كان الوصول محظورا. الهوية المدارة مفقودة التكوين أو تم تعيين قيود شبكة Logic Apps. |
إذا كان دليل المبادئ يستخدم الهوية المدارة، فتأكد من تعيين الهوية المدارة بأذونات. قد يحتوي دليل المبادئ على قواعد تقييد الشبكة تمنع تشغيله لأنها تحظر خدمة Microsoft Sentinel. |
| تعذر تشغيل playbook: PlaybookName>.< تم تأمين الاشتراك أو مجموعة الموارد. |
قم بإزالة التأمين للسماح بدلائل مبادئ مشغل Microsoft Sentinel في النطاق المؤمن. تعرف على المزيد حول الموارد المؤمنة. |
| تعذر تشغيل playbook: PlaybookName>.< يفتقد المتصل الأذونات المطلوبة لتشغيل دليل المبادئ على دليل المبادئ، أو يفتقد Microsoft Sentinel الأذونات عليه. |
يفتقد المستخدم الذي يحاول تشغيل دليل المبادئ عند الطلب إلى دور Logic Apps Contributor على دليل المبادئ أو لتشغيل دليل المبادئ. معرفة المزيد |
| تعذر تشغيل playbook: PlaybookName>.< بيانات الاعتماد غير صحيحة في الاتصال. |
تحقق من بيانات الاعتماد التي يستخدمها اتصالك في خدمة اتصالات واجهة برمجة التطبيقات في مدخل Microsoft Azure. |
| تعذر تشغيل playbook: PlaybookName>.< معرف دليل المبادئ ARM غير صحيح. |
الحصول على صورة التنفيذ التلقائي الكاملة
يسمح لك جدول المراقبة الصحية ل Microsoft Sentinel بتتبع وقت تشغيل أدلة المبادئ، ولكن لمراقبة ما يحدث داخل أدلة المبادئ ونتائجها عند تشغيلها، يجب عليك أيضا تشغيل التشخيصات في Azure Logic Apps لاستيعاب الأحداث التالية في جدول AzureDiagnostics :
- بدأ {Action name}
- انتهى {Action name}
- بدء سير العمل (دليل المبادئ)
- انتهاء سير العمل (دليل المبادئ)
توفر هذه الأحداث المضافة رؤى إضافية حول الإجراءات التي يتم اتخاذها في أدلة المبادئ الخاصة بك.
تشغيل تشخيصات Azure Logic Apps
لكل دليل مبادئ تهتم بالمراقبة، قم بتمكين Log Analytics لتطبيقك المنطقي. تأكد من تحديد Send to Log Analytics workspace كوجهة السجل، واختر مساحة عمل Microsoft Sentinel.
ربط سجلات Microsoft Sentinel وAzure Logic Apps
الآن بعد أن أصبح لديك سجلات لقواعد التشغيل التلقائي ودلائل المبادئ والسجلات لسير عمل Logic Apps الفردية في مساحة العمل الخاصة بك، يمكنك ربطها للحصول على الصورة الكاملة. خذ بعين الاعتبار نموذج الاستعلام التالي:
SentinelHealth
| where SentinelResourceType == "Automation rule"
| mv-expand TriggeredPlaybooks = ExtendedProperties.TriggeredPlaybooks
| extend runId = tostring(TriggeredPlaybooks.RunId)
| join (AzureDiagnostics
| where OperationName == "Microsoft.Logic/workflows/workflowRunCompleted"
| project
resource_runId_s,
playbookName = resource_workflowName_s,
playbookRunStatus = status_s)
on $left.runId == $right.resource_runId_s
| project
RecordId,
TimeGenerated,
AutomationRuleName= SentinelResourceName,
AutomationRuleStatus = Status,
Description,
workflowRunId = runId,
playbookName,
playbookRunStatus
استخدم مصنف مراقبة السلامة
يساعدك مصنف صحة التنفيذ التلقائي على تصور بياناتك الصحية، بالإضافة إلى الارتباط بين نوعي السجلات اللذين ذكرناهما للتو. يتضمن المصنف أجهزة العرض التالية:
- حماية قاعدة التنفيذ التلقائي وتفاصيلها
- تشغيل دليل المبادئ السلامة والتفاصيل
- يعمل Playbook على تشغيل الصحة والتفاصيل (يتطلب تمكين تشخيص Azure على مستوى Playbook)
- تفاصيل التنفيذ التلقائي لكل حادث
على سبيل المثال:
حدد علامة التبويب Playbooks run by Automation Rules لمشاهدة نشاط playbook.
حدد دليل المبادئ لمشاهدة قائمة عمليات التشغيل الخاصة به في مخطط التنقل لأسفل أدناه.
حدد تشغيلا معينا لمشاهدة نتائج الإجراءات في دليل المبادئ.
الخطوات التالية
- تعرف على التدقيق والمراقبة الصحية في Microsoft Sentinel.
- قم بتشغيل التدقيق والمراقبة الصحية في Microsoft Sentinel.
- مراقبة صحة موصلات البيانات.
- مراقبة سلامة وسلامة قواعد التحليلات الخاصة بك.
- راجع المزيد من المعلومات حول مخططات جدول SentinelHealth و SentinelAudit.